04-15-2025, 04:18 AM
News OT-Security: Warum der Blick auf Open Source lohnt
<div id="remove_no_follow">
<div class="grid grid--cols-10@md grid--cols-8@lg article-column">
<div class="col-12 col-10@md col-6@lg col-start-3@lg">
<div class="article-column__content">
<section class="wp-block-bigbite-multi-title"><div class="container"></div></section>
<div class="extendedBlock-wrapper block-coreImage undefined"><figure class="wp-block-image size-large"><img loading="lazy" decoding="async" src="https://b2b-contenthub.com/wp-content/uploads/2025/04/shutterstock_2403411517.jpg?quality=50&strip=all&w=1024" alt="Open Source" class="wp-image-3961124" srcset="https://b2b-contenthub.com/wp-content/uploads/2025/04/shutterstock_2403411517.jpg?quality=50&strip=all 5780w, https://b2b-contenthub.com/wp-content/up...;strip=all 300w, https://b2b-contenthub.com/wp-content/up...;strip=all 768w, https://b2b-contenthub.com/wp-content/up...;strip=all 1024w, https://b2b-contenthub.com/wp-content/up...;strip=all 1536w, https://b2b-contenthub.com/wp-content/up...;strip=all 2048w, https://b2b-contenthub.com/wp-content/up...;strip=all 1240w, https://b2b-contenthub.com/wp-content/up...;strip=all 150w, https://b2b-contenthub.com/wp-content/up...;strip=all 854w, https://b2b-contenthub.com/wp-content/up...;strip=all 640w, https://b2b-contenthub.com/wp-content/up...;strip=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px" /><figcaption class="wp-element-caption">Auch im OT-Security-Bereich stellen Open-Source-Lösungen eine kostengünstige Alternative zu kommerziellen Tools dar.</figcaption></figure><p class="imageCredit">MY STOCKERS – Shutterstock.com</p></div>
<h2 class="wp-block-heading"><strong>OT-Security als strategischer Erfolgsfaktor</strong></h2>
<p>Die zunehmende Digitalisierung und Vernetzung in der industriellen Produktion haben <a href="https://www.csoonline.com/article/3492407/ot-security-so-schutzen-sie-ihre-industrieanlagen.html" data-type="link" data-id="https://www.csoonline.com/article/3492407/ot-security-so-schutzen-sie-ihre-industrieanlagen.html">OT-Security </a>(Operational Technology-Sicherheit) zu einem Kernthema in Unternehmen gemacht. Produktionsdaten, SCADA-Systeme (Supervisory Control and Data Acquisition) und vernetzte Maschinen sind in vielen Branchen essenziell – und äußerst anfällig für Cyberangriffe. Ein Zwischenfall kann nicht nur zu Produktionsausfällen und Imageschäden, sondern auch zu lebensbedrohlichen Situationen führen, etwa in <a href="https://www.csoonline.com/de/critical-infrastructure/" data-type="link" data-id="https://www.csoonline.com/de/critical-infrastructure/">kritischen Infrastrukturen</a> (KRITIS).</p>
<p>Gleichzeitig steigen die <a href="https://www.csoonline.com/article/3856334/zu-wenig-budget-fur-ot-security.html" data-type="link" data-id="https://www.csoonline.com/article/3856334/zu-wenig-budget-fur-ot-security.html">Budget</a>– und Kostendruck-Szenarien: Handelszölle, drohende Kurzarbeit oder wirtschaftliche Unsicherheiten erschweren hohe Investitionen in teure OT-Security-Lösungen. Entsprechend rückt die Frage nach kosteneffizienten Alternativen in den Vordergrund.</p>
<h2 class="wp-block-heading"><strong>OT-Security auf höchstem Niveau – dank Open-Source-Alternativen</strong></h2>
<p>Kommerzielle OT-Security-Lösungen wie jene von Nozomi Networks, Darktrace, Forescout oder Microsoft Defender for IoT versprechen einen großen Funktionsumfang, gehen jedoch nicht selten mit Lizenzkosten in mittlerer bis hoher sechsstelliger Eurohöhe pro Jahr einher. Vor allem in wirtschaftlich angespannten Zeiten ist eine solch hohe Investition intern oft schwer zu rechtfertigen.</p>
<p>Demgegenüber bieten Open-Source-Tools einige entscheidende Vorteile:</p>
<ul class="wp-block-list">
<li><strong>Geringere Kosten</strong>: Keine Lizenzgebühren, lediglich Investitionen in Hardware und Implementierung.</li>
<li><strong>Flexibilität und Anpassbarkeit</strong>: Quellcode ist frei verfügbar und kann an spezifische Anforderungen im OT-Umfeld angepasst werden.</li>
<li><strong>Aktive Community</strong>: Kontinuierliche Weiterentwicklung und schnelle Reaktion auf neuartige Bedrohungen.</li>
</ul>
<p>Allerdings erfordern Open-Source-Lösungen in der Regel ein gut aufgestelltes IT-/OT-Security-Team, das diese Tools korrekt implementiert, konfiguriert und betreibt. Auch der Support ist eher “Community-driven” oder erfolgt über spezialisierte Dienstleister. Dennoch zeigt die Praxis: Eine professionelle Planung ermöglicht ein Sicherheitsniveau, das in vielen Belangen mit dem teurer Anbieter mithalten kann.</p>
<p><strong>Empfohlene Open-Source-Tool-Kombinationen für maximale Abdeckung</strong></p>
<p>Um einen möglichst großen Teil der Sicherheitsfunktionen abzudecken, empfiehlt sich eine Kombination mehrerer Open-Source-Tools. Diese lassen sich modular erweitern, was eine bessere Anpassung an die jeweilige OT-Landschaft ermöglicht.</p>
<p>Dazu folgende Beispiele:</p>
<h2 class="wp-block-heading"><strong>Asset Management & Netzwerktransparenz</strong></h2>
<ol class="wp-block-list">
<li><strong><a href="https://www.cisa.gov/resources-tools/services/malcolm" data-type="link" data-id="https://www.cisa.gov/resources-tools/services/malcolm">Malcolm</a> (inkl. Zeek):</strong></li>
</ol>
<p><strong>Fokus: </strong>Echtzeit-Netzwerkanalyse und spezialisierte OT-Protokollunterstützung</p>
<p><strong>Vorteile</strong>: </p>
<ul class="wp-block-list">
<li>Deep Packet Inspection, umfassende Protokollanalysen (unter anderem Modbus und DNP3)</li>
<li>Kontinuierliche Asset Discovery durch passives Monitoring</li>
<li>Speziell für ICS/SCADA-Umgebungen konzipiert</li>
<li><strong>Ergänzung</strong>: GRASSMARLIN für Netzwerkvisualisierung</li>
<li>Stellt Topologien in industriellen Umgebungen grafisch dar</li>
<li>Hilft bei der Identifizierung unbekannter Netzwerkwege und Segmentierungsproblemen</li>
</ul>
<p>2. <strong><a href="https://netboxlabs.com/oss/netbox/" data-type="link" data-id="https://netboxlabs.com/oss/netbox/">Netbox</a></strong></p>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Fokus</strong>: IP-Adressmanagement und umfangreiche OT-Asset-Dokumentation</p>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Zentrale Inventarisierung und “Single Source of Truth” für Netzwerkinfrastrukturen</li>
<li>Einfache Integration in CMDB-Prozesse</li>
<li>Essenzielle Grundlage für weitere Sicherheitsmaßnahmen wie Segmentierung, Netzwerkzugriffs-Kontrollen.</li>
</ul>
<h2 class="wp-block-heading"><strong>Netzwerküberwachung & Anomalieerkennung</strong></h2>
<ol class="wp-block-list">
<li><strong><a href="https://securityonionsolutions.com/" data-type="link" data-id="https://securityonionsolutions.com/">Security Onion</a> (Suricata + Zeek)</strong></li>
</ol>
<p><strong>Fokus</strong>: Echtzeit-Bedrohungserkennung, Netzwerkforensik</p>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Bietet IDS/IPS-Funktionalitäten (Suricata oder Snort) und Protokollanalyse (Zeek) in einem umfassenden Paket</li>
<li>Integrierte Dashboards (zum Beispiel Kibana) für Alarmierung und Auswertung</li>
<li>Leicht skalierbar von kleinen Test-Setups bis hin zu großen Produktionsstandorten</li>
</ul>
<p>2. <strong><a href="https://www.elastic.co/de/elastic-stack" data-type="link" data-id="https://www.elastic.co/de/elastic-stack">ELK Stack</a> (Elasticsearch, Logstash, Kibana)</strong></p>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Fokus</strong>: Zentrale Logging- und Visualisierungsplattform</p>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Leistungsstarke Such- und Analysemöglichkeiten für Logdaten</li>
<li>Langzeit-Analysen und Korrelation von Events aus unterschiedlichen Quellen</li>
<li>Flexible Dashboards für Security-Verantwortliche</li>
</ul>
<h2 class="wp-block-heading"><strong>Schwachstellenmanagement & Endpoint-Security</strong></h2>
<ol class="wp-block-list">
<li><strong><a href="https://wazuh.com/" data-type="link" data-id="https://wazuh.com/">Wazuh</a></strong></li>
</ol>
<p><strong>Fokus</strong>: XDR (Extended Detection and Response), Compliance und Schwachstellenmanagement</p>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Zentrale Überwachung von Endgeräten (HMIs, SCADA-Server, Operator Stations etc.)</li>
<li>File Integrity Monitoring und aktive Erkennung von Sicherheitsvorfällen</li>
<li>Compliance-Unterstützung (zum Beispiel TISAX, ITAR, PCI-DSS)</li>
</ul>
<p>2. <strong><a href="https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Freie-Software/Tools/OpenVAS/OpenVAS.html" data-type="link" data-id="https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Freie-Software/Tools/OpenVAS/OpenVAS.html">OpenVAS</a> (Greenbone Vulnerability Manager)</strong></p>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Fokus</strong>: Aktive Schwachstellenscans zur Identifikation potenzieller Lücken</p>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Regelmäßig aktualisierte Datenbank mit bekannten Schwachstellen</li>
<li>Ergänzt passives Monitoring mit aktiven Scan-Funktionen</li>
<li>Deckt ein breites Spektrum an Systemen ab</li>
</ul>
<h2 class="wp-block-heading"><strong>Incident Response & Security Operations</strong></h2>
<ol class="wp-block-list">
<li><strong><a href="https://github.com/TheHive-Project/Cortex" data-type="link" data-id="https://github.com/TheHive-Project/Cortex">TheHive & Cortex</a></strong></li>
</ol>
<p><strong>Fokus</strong>: Incident-Management, Case-Verwaltung, Workflow-Automatisierung</p>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Schnelle und strukturierte Bearbeitung von Sicherheitsvorfällen</li>
<li>Integration vordefinierter oder eigener IR-Playbooks</li>
<li>Analyse-Module (Cortex) ermöglichen automatische Abfragen von IoCs oder Bedrohungsfeeds</li>
</ul>
<p>2. <strong><a href="https://filigran.io/solutions/open-cti/" data-type="link" data-id="https://filigran.io/solutions/open-cti/">OpenCTI</a></strong></p>
<ol class="wp-block-list">
<li>
</li></ol>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Fokus</strong>: Threat Intelligence Management, Integration externer Feeds</p>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Zentrale Sammlung, Korrelation und Analyse von Bedrohungsinformationen</li>
<li>Unterstützung bei proaktiven Verteidigungsmaßnahmen</li>
<li>Perfekte Ergänzung zu Sicherheitsdaten aus Security Onion, Wazuh & Co.</li>
</ul>
<h2 class="wp-block-heading"><strong>Weitere Ergänzungen für ein vollumfängliches OT-Security-Konzept</strong></h2>
<ul class="wp-block-list">
<li><strong>ICS-spezifische Honeypots</strong> (z. B. <strong>Conpot</strong>): Dienen als “Frühwarnsystem” und ermöglichen Einblicke in Angriffsstrategien, bevor die echten Produktionssysteme betroffen sind.</li>
<li><strong>OT-spezifische Machine-Learning-Projekte</strong>: Wer mehr KI-Funktionalität möchte, kann auf PyTorch, TensorFlow<strong> </strong>oder spezialisierte Forschungsprojekte setzen. Allerdings ist dafür oft umfassendes Data-Science-Know-how erforderlich.</li>
<li><strong>Regel- und Signatur-Packs</strong>: Um Suricata/Zeek noch besser auf industrielle Protokolle abzustimmen, können ICS-spezifische Regeln (z. B. über Emerging Threats, Industrial Control Systems-Signaturen) eingebunden werden.</li>
</ul>
<h2 class="wp-block-heading"><strong>Chancen und Grenzen von Open Source</strong></h2>
<p>Mit den dargestellten Open-Source-Tools lässt sich ein breiter Funktionsumfang realisieren, der dem kommerzieller Lösungen erstaunlich nahekommt. Die Stärken liegen in der Kosteneffizienz, Flexibilität und Community-Unterstützung. Gleichzeitig sollte man berücksichtigen:</p>
<ul class="wp-block-list">
<li><strong>Kein automatisches “Plug & Play”</strong>: Anders als bei kommerziellen Lösungen muss man Zeit in Installation, Konfiguration und Feintuning investieren.</li>
<li><strong>Machine-Learning-Funktionalitäten</strong> sind vorhanden (vor allem mit Suricata, Zeek und ergänzenden ML-Frameworks), erfordern jedoch oft mehr Know-how als die Out-of-the-box-Lösungen hochpreisiger Anbieter.</li>
<li><strong>Support & Wartung</strong>: Statt eines dedizierten Hersteller-Supports stützt man sich meist auf eine Kombination aus Community-Foren, Dokumentationen und gegebenenfalls individuellen Dienstleistern.</li>
</ul>
<p>Dennoch belegt die Praxis, dass mit einem kompetenten OT-Security-Team oder externen Beratern auch Open-Source-Lösungen in großem Stil erfolgreich eingesetzt werden können. (jm)</p>
</div></div></div></div>
https://www.csoonline.com/article/396111...lohnt.html
<div id="remove_no_follow">
<div class="grid grid--cols-10@md grid--cols-8@lg article-column">
<div class="col-12 col-10@md col-6@lg col-start-3@lg">
<div class="article-column__content">
<section class="wp-block-bigbite-multi-title"><div class="container"></div></section>
<div class="extendedBlock-wrapper block-coreImage undefined"><figure class="wp-block-image size-large"><img loading="lazy" decoding="async" src="https://b2b-contenthub.com/wp-content/uploads/2025/04/shutterstock_2403411517.jpg?quality=50&strip=all&w=1024" alt="Open Source" class="wp-image-3961124" srcset="https://b2b-contenthub.com/wp-content/uploads/2025/04/shutterstock_2403411517.jpg?quality=50&strip=all 5780w, https://b2b-contenthub.com/wp-content/up...;strip=all 300w, https://b2b-contenthub.com/wp-content/up...;strip=all 768w, https://b2b-contenthub.com/wp-content/up...;strip=all 1024w, https://b2b-contenthub.com/wp-content/up...;strip=all 1536w, https://b2b-contenthub.com/wp-content/up...;strip=all 2048w, https://b2b-contenthub.com/wp-content/up...;strip=all 1240w, https://b2b-contenthub.com/wp-content/up...;strip=all 150w, https://b2b-contenthub.com/wp-content/up...;strip=all 854w, https://b2b-contenthub.com/wp-content/up...;strip=all 640w, https://b2b-contenthub.com/wp-content/up...;strip=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px" /><figcaption class="wp-element-caption">Auch im OT-Security-Bereich stellen Open-Source-Lösungen eine kostengünstige Alternative zu kommerziellen Tools dar.</figcaption></figure><p class="imageCredit">MY STOCKERS – Shutterstock.com</p></div>
<h2 class="wp-block-heading"><strong>OT-Security als strategischer Erfolgsfaktor</strong></h2>
<p>Die zunehmende Digitalisierung und Vernetzung in der industriellen Produktion haben <a href="https://www.csoonline.com/article/3492407/ot-security-so-schutzen-sie-ihre-industrieanlagen.html" data-type="link" data-id="https://www.csoonline.com/article/3492407/ot-security-so-schutzen-sie-ihre-industrieanlagen.html">OT-Security </a>(Operational Technology-Sicherheit) zu einem Kernthema in Unternehmen gemacht. Produktionsdaten, SCADA-Systeme (Supervisory Control and Data Acquisition) und vernetzte Maschinen sind in vielen Branchen essenziell – und äußerst anfällig für Cyberangriffe. Ein Zwischenfall kann nicht nur zu Produktionsausfällen und Imageschäden, sondern auch zu lebensbedrohlichen Situationen führen, etwa in <a href="https://www.csoonline.com/de/critical-infrastructure/" data-type="link" data-id="https://www.csoonline.com/de/critical-infrastructure/">kritischen Infrastrukturen</a> (KRITIS).</p>
<p>Gleichzeitig steigen die <a href="https://www.csoonline.com/article/3856334/zu-wenig-budget-fur-ot-security.html" data-type="link" data-id="https://www.csoonline.com/article/3856334/zu-wenig-budget-fur-ot-security.html">Budget</a>– und Kostendruck-Szenarien: Handelszölle, drohende Kurzarbeit oder wirtschaftliche Unsicherheiten erschweren hohe Investitionen in teure OT-Security-Lösungen. Entsprechend rückt die Frage nach kosteneffizienten Alternativen in den Vordergrund.</p>
<h2 class="wp-block-heading"><strong>OT-Security auf höchstem Niveau – dank Open-Source-Alternativen</strong></h2>
<p>Kommerzielle OT-Security-Lösungen wie jene von Nozomi Networks, Darktrace, Forescout oder Microsoft Defender for IoT versprechen einen großen Funktionsumfang, gehen jedoch nicht selten mit Lizenzkosten in mittlerer bis hoher sechsstelliger Eurohöhe pro Jahr einher. Vor allem in wirtschaftlich angespannten Zeiten ist eine solch hohe Investition intern oft schwer zu rechtfertigen.</p>
<p>Demgegenüber bieten Open-Source-Tools einige entscheidende Vorteile:</p>
<ul class="wp-block-list">
<li><strong>Geringere Kosten</strong>: Keine Lizenzgebühren, lediglich Investitionen in Hardware und Implementierung.</li>
<li><strong>Flexibilität und Anpassbarkeit</strong>: Quellcode ist frei verfügbar und kann an spezifische Anforderungen im OT-Umfeld angepasst werden.</li>
<li><strong>Aktive Community</strong>: Kontinuierliche Weiterentwicklung und schnelle Reaktion auf neuartige Bedrohungen.</li>
</ul>
<p>Allerdings erfordern Open-Source-Lösungen in der Regel ein gut aufgestelltes IT-/OT-Security-Team, das diese Tools korrekt implementiert, konfiguriert und betreibt. Auch der Support ist eher “Community-driven” oder erfolgt über spezialisierte Dienstleister. Dennoch zeigt die Praxis: Eine professionelle Planung ermöglicht ein Sicherheitsniveau, das in vielen Belangen mit dem teurer Anbieter mithalten kann.</p>
<p><strong>Empfohlene Open-Source-Tool-Kombinationen für maximale Abdeckung</strong></p>
<p>Um einen möglichst großen Teil der Sicherheitsfunktionen abzudecken, empfiehlt sich eine Kombination mehrerer Open-Source-Tools. Diese lassen sich modular erweitern, was eine bessere Anpassung an die jeweilige OT-Landschaft ermöglicht.</p>
<p>Dazu folgende Beispiele:</p>
<h2 class="wp-block-heading"><strong>Asset Management & Netzwerktransparenz</strong></h2>
<ol class="wp-block-list">
<li><strong><a href="https://www.cisa.gov/resources-tools/services/malcolm" data-type="link" data-id="https://www.cisa.gov/resources-tools/services/malcolm">Malcolm</a> (inkl. Zeek):</strong></li>
</ol>
<p><strong>Fokus: </strong>Echtzeit-Netzwerkanalyse und spezialisierte OT-Protokollunterstützung</p>
<p><strong>Vorteile</strong>: </p>
<ul class="wp-block-list">
<li>Deep Packet Inspection, umfassende Protokollanalysen (unter anderem Modbus und DNP3)</li>
<li>Kontinuierliche Asset Discovery durch passives Monitoring</li>
<li>Speziell für ICS/SCADA-Umgebungen konzipiert</li>
<li><strong>Ergänzung</strong>: GRASSMARLIN für Netzwerkvisualisierung</li>
<li>Stellt Topologien in industriellen Umgebungen grafisch dar</li>
<li>Hilft bei der Identifizierung unbekannter Netzwerkwege und Segmentierungsproblemen</li>
</ul>
<p>2. <strong><a href="https://netboxlabs.com/oss/netbox/" data-type="link" data-id="https://netboxlabs.com/oss/netbox/">Netbox</a></strong></p>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Fokus</strong>: IP-Adressmanagement und umfangreiche OT-Asset-Dokumentation</p>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Zentrale Inventarisierung und “Single Source of Truth” für Netzwerkinfrastrukturen</li>
<li>Einfache Integration in CMDB-Prozesse</li>
<li>Essenzielle Grundlage für weitere Sicherheitsmaßnahmen wie Segmentierung, Netzwerkzugriffs-Kontrollen.</li>
</ul>
<h2 class="wp-block-heading"><strong>Netzwerküberwachung & Anomalieerkennung</strong></h2>
<ol class="wp-block-list">
<li><strong><a href="https://securityonionsolutions.com/" data-type="link" data-id="https://securityonionsolutions.com/">Security Onion</a> (Suricata + Zeek)</strong></li>
</ol>
<p><strong>Fokus</strong>: Echtzeit-Bedrohungserkennung, Netzwerkforensik</p>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Bietet IDS/IPS-Funktionalitäten (Suricata oder Snort) und Protokollanalyse (Zeek) in einem umfassenden Paket</li>
<li>Integrierte Dashboards (zum Beispiel Kibana) für Alarmierung und Auswertung</li>
<li>Leicht skalierbar von kleinen Test-Setups bis hin zu großen Produktionsstandorten</li>
</ul>
<p>2. <strong><a href="https://www.elastic.co/de/elastic-stack" data-type="link" data-id="https://www.elastic.co/de/elastic-stack">ELK Stack</a> (Elasticsearch, Logstash, Kibana)</strong></p>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Fokus</strong>: Zentrale Logging- und Visualisierungsplattform</p>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Leistungsstarke Such- und Analysemöglichkeiten für Logdaten</li>
<li>Langzeit-Analysen und Korrelation von Events aus unterschiedlichen Quellen</li>
<li>Flexible Dashboards für Security-Verantwortliche</li>
</ul>
<h2 class="wp-block-heading"><strong>Schwachstellenmanagement & Endpoint-Security</strong></h2>
<ol class="wp-block-list">
<li><strong><a href="https://wazuh.com/" data-type="link" data-id="https://wazuh.com/">Wazuh</a></strong></li>
</ol>
<p><strong>Fokus</strong>: XDR (Extended Detection and Response), Compliance und Schwachstellenmanagement</p>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Zentrale Überwachung von Endgeräten (HMIs, SCADA-Server, Operator Stations etc.)</li>
<li>File Integrity Monitoring und aktive Erkennung von Sicherheitsvorfällen</li>
<li>Compliance-Unterstützung (zum Beispiel TISAX, ITAR, PCI-DSS)</li>
</ul>
<p>2. <strong><a href="https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Freie-Software/Tools/OpenVAS/OpenVAS.html" data-type="link" data-id="https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Freie-Software/Tools/OpenVAS/OpenVAS.html">OpenVAS</a> (Greenbone Vulnerability Manager)</strong></p>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Fokus</strong>: Aktive Schwachstellenscans zur Identifikation potenzieller Lücken</p>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Regelmäßig aktualisierte Datenbank mit bekannten Schwachstellen</li>
<li>Ergänzt passives Monitoring mit aktiven Scan-Funktionen</li>
<li>Deckt ein breites Spektrum an Systemen ab</li>
</ul>
<h2 class="wp-block-heading"><strong>Incident Response & Security Operations</strong></h2>
<ol class="wp-block-list">
<li><strong><a href="https://github.com/TheHive-Project/Cortex" data-type="link" data-id="https://github.com/TheHive-Project/Cortex">TheHive & Cortex</a></strong></li>
</ol>
<p><strong>Fokus</strong>: Incident-Management, Case-Verwaltung, Workflow-Automatisierung</p>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Schnelle und strukturierte Bearbeitung von Sicherheitsvorfällen</li>
<li>Integration vordefinierter oder eigener IR-Playbooks</li>
<li>Analyse-Module (Cortex) ermöglichen automatische Abfragen von IoCs oder Bedrohungsfeeds</li>
</ul>
<p>2. <strong><a href="https://filigran.io/solutions/open-cti/" data-type="link" data-id="https://filigran.io/solutions/open-cti/">OpenCTI</a></strong></p>
<ol class="wp-block-list">
<li>
</li></ol>
<ol class="wp-block-list">
<li>
</li></ol>
<p><strong>Fokus</strong>: Threat Intelligence Management, Integration externer Feeds</p>
<p><strong>Vorteile</strong>:</p>
<ul class="wp-block-list">
<li>Zentrale Sammlung, Korrelation und Analyse von Bedrohungsinformationen</li>
<li>Unterstützung bei proaktiven Verteidigungsmaßnahmen</li>
<li>Perfekte Ergänzung zu Sicherheitsdaten aus Security Onion, Wazuh & Co.</li>
</ul>
<h2 class="wp-block-heading"><strong>Weitere Ergänzungen für ein vollumfängliches OT-Security-Konzept</strong></h2>
<ul class="wp-block-list">
<li><strong>ICS-spezifische Honeypots</strong> (z. B. <strong>Conpot</strong>): Dienen als “Frühwarnsystem” und ermöglichen Einblicke in Angriffsstrategien, bevor die echten Produktionssysteme betroffen sind.</li>
<li><strong>OT-spezifische Machine-Learning-Projekte</strong>: Wer mehr KI-Funktionalität möchte, kann auf PyTorch, TensorFlow<strong> </strong>oder spezialisierte Forschungsprojekte setzen. Allerdings ist dafür oft umfassendes Data-Science-Know-how erforderlich.</li>
<li><strong>Regel- und Signatur-Packs</strong>: Um Suricata/Zeek noch besser auf industrielle Protokolle abzustimmen, können ICS-spezifische Regeln (z. B. über Emerging Threats, Industrial Control Systems-Signaturen) eingebunden werden.</li>
</ul>
<h2 class="wp-block-heading"><strong>Chancen und Grenzen von Open Source</strong></h2>
<p>Mit den dargestellten Open-Source-Tools lässt sich ein breiter Funktionsumfang realisieren, der dem kommerzieller Lösungen erstaunlich nahekommt. Die Stärken liegen in der Kosteneffizienz, Flexibilität und Community-Unterstützung. Gleichzeitig sollte man berücksichtigen:</p>
<ul class="wp-block-list">
<li><strong>Kein automatisches “Plug & Play”</strong>: Anders als bei kommerziellen Lösungen muss man Zeit in Installation, Konfiguration und Feintuning investieren.</li>
<li><strong>Machine-Learning-Funktionalitäten</strong> sind vorhanden (vor allem mit Suricata, Zeek und ergänzenden ML-Frameworks), erfordern jedoch oft mehr Know-how als die Out-of-the-box-Lösungen hochpreisiger Anbieter.</li>
<li><strong>Support & Wartung</strong>: Statt eines dedizierten Hersteller-Supports stützt man sich meist auf eine Kombination aus Community-Foren, Dokumentationen und gegebenenfalls individuellen Dienstleistern.</li>
</ul>
<p>Dennoch belegt die Praxis, dass mit einem kompetenten OT-Security-Team oder externen Beratern auch Open-Source-Lösungen in großem Stil erfolgreich eingesetzt werden können. (jm)</p>
</div></div></div></div>
https://www.csoonline.com/article/396111...lohnt.html